CN110636076A - 一种主机攻击检测方法及系统 - Google Patents

一种主机攻击检测方法及系统 Download PDF

Info

Publication number
CN110636076A
CN110636076A CN201910966779.5A CN201910966779A CN110636076A CN 110636076 A CN110636076 A CN 110636076A CN 201910966779 A CN201910966779 A CN 201910966779A CN 110636076 A CN110636076 A CN 110636076A
Authority
CN
China
Prior art keywords
attack
host
information
system log
log
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201910966779.5A
Other languages
English (en)
Other versions
CN110636076B (zh
Inventor
翟建军
陈青民
孙鸿斌
王晓峰
彭海龙
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing An Xin Tian Xing Technology Co Ltd
Original Assignee
Beijing An Xin Tian Xing Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing An Xin Tian Xing Technology Co Ltd filed Critical Beijing An Xin Tian Xing Technology Co Ltd
Priority to CN201910966779.5A priority Critical patent/CN110636076B/zh
Publication of CN110636076A publication Critical patent/CN110636076A/zh
Application granted granted Critical
Publication of CN110636076B publication Critical patent/CN110636076B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Debugging And Monitoring (AREA)

Abstract

本发明公开一种主机攻击检测方法及系统。该主机攻击检测方法包括:获取目标主机网络数据、安全设备系统日志和目标主体系统日志;提取目标主体网络数据、安全设备系统日志和目标主体系统日志的特征信息;将特征信息输入到利用集成学习方法对已公开的漏洞数据进行训练所得到的多个机器学习器中,判断是否输出攻击类别,得到判断结果;若判断结果表示是,则确定发生主机攻击;若判断结果表示否,则确定未发生主机攻击。本发明的主机攻击检测方法及系统,能够提高检测准确度。

Description

一种主机攻击检测方法及系统
技术领域
本发明涉及网络安全领域,特别是涉及一种主机攻击检测方法及系统。
背景技术
随着互联网的发展,网络用户的数量越来越多,投入互联网的主机设备也越来越多。伴随着互联网的发展,利用漏洞对主机进行攻击行为也越发普遍,主机设备的安全性显得更加重要。为了最大程度上保证主机的安全运行,需要实时监测主机攻击行为的发生,以及时发现危险的存在。
基于规则匹配的方法是较为常见的主机攻击检测方法。该方法主要通过关联查询的方式从日志中提取关键信息,而后根据关键信息对操作行为进行判断。然而该方法仅利用日志信息进行攻击检测的判断,分析结果准确性不高。
发明内容
本发明的目的是提供一种主机攻击检测方法及系统,提高检测准确度。
为实现上述目的,本发明提供了如下方案:
一种主机攻击检测方法,包括:
获取目标主机网络数据、安全设备系统日志和目标主体系统日志;
提取所述目标主体网络数据、所述安全设备系统日志和所述目标主体系统日志的特征信息;
将所述特征信息输入到利用集成学习方法对已公开的漏洞数据进行训练所得到的多个机器学习器中,判断是否输出攻击类别,得到判断结果;
若所述判断结果表示是,则确定发生主机攻击;
若所述判断结果表示否,则确定未发生主机攻击。
可选的,所述提取所述目标主体网络数据、所述安全设备系统日志和所述目标主体系统日志的特征信息,具体包括:
从所述目标主机网络数据中解析提取请求和响应信息;
从所述安全设备系统日志中解析设备日志特征;所述设备日志特征包括但不限于:时间、级别、协议、目的IP、源IP、目的端口、资源账号、目的MAC、源MAC、认证账号、重定向端口、访问方向和阻断信息;
从所述目标主体系统日志中提取系统日志特征;所述系统日志特征包括但不限于:操作系统、版本号、时间、源IP、端口、类型、级别、用户和结果。
可选的,利用集成学习方法对已公开的漏洞数据进行训练的具体过程为:
获取已公开的漏洞数据,得到训练样本;
提取所述训练样本的攻击特征;所述攻击特征包括但不限于:时间、行为、源IP、目的IP、通讯协议、进程信息、配置信息、端口信息、请求连接信息、阻断信息、账号信息、协议内部信息中的至少一项;
将按照各所述攻击特征所属的攻击类型,对各所述攻击特征进行攻击类型的划分;
利用集成学习方法对所述攻击特征和各所述攻击特征所属的攻击类型进行训练,得到训练好的多个机器学习器。
可选的,在所述确定发生主机攻击之后,还包括:
发出主机攻击报警信号。
可选的,所述攻击类型包括但不限于:网络攻击、系统入侵、信息破坏和安全隐患。
一种主机攻击检测系统,包括:
主机数据获取模块,用于获取目标主机网络数据、安全设备系统日志和目标主体系统日志;
特征提取模块,用于提取所述目标主体网络数据、所述安全设备系统日志和所述目标主体系统日志的特征信息;
攻击判断模块,用于将所述特征信息输入到利用集成学习方法对已公开的漏洞数据进行训练所得到的多个机器学习器中,判断是否输出攻击类别,得到判断结果;
攻击确定模块,用于若所述判断结果表示是,则确定发生主机攻击;
安全确定模块,用于若所述判断结果表示否,则确定未发生主机攻击。
可选的,所述特征提取模块包括:
目标主机网络数据解析单元,用于从所述目标主机网络数据中解析提取请求和响应信息;
安全设备系统日志解析单元,用于从所述安全设备系统日志中解析设备日志特征;所述设备日志特征包括但不限于:时间、级别、协议、目的IP、源IP、目的端口、资源账号、目的MAC、源MAC、认证账号、重定向端口、访问方向和阻断信息;
系统日志特征提取单元,用于从所述目标主体系统日志中提取系统日志特征;所述系统日志特征包括但不限于:操作系统、版本号、时间、源IP、端口、类型、级别、用户和结果。
可选的,该主机攻击检测系统还包括训练模块,用于利用集成学习方法对已公开的漏洞数据进行训练;
所述训练模块包括:
样本获取单元,用于获取已公开的漏洞数据,得到训练样本;
系统日志特征提取单元,用于提取所述训练样本的攻击特征;所述攻击特征包括但不限于:时间、行为、源IP、目的IP、通讯协议、进程信息、配置信息、端口信息、请求连接信息、阻断信息、账号信息、协议内部信息中的至少一项;
攻击类型划分单元,用于将按照各所述攻击特征所属的攻击类型,对各所述攻击特征进行攻击类型的划分;
集成学习训练单元,用于利用集成学习方法对所述攻击特征和各所述攻击特征所属的攻击类型进行训练,得到训练好的多个机器学习器。
可选的,该主机攻击检测系统还包括:
报警模块,用于发出主机攻击报警信号。
可选的,所述攻击类型包括但不限于:网络攻击、系统入侵、信息破坏和安全隐患。
根据本发明提供的具体实施例,本发明公开了以下技术效果:本发明的主机攻击检测方法及系统,通过结合目标主机网络数据、安全设备系统日志和目标主体系统日志等信息对主机进行全方位的快速安全监测,准确分析出主机受到的攻击类型,提高检测准确度,并提高检测效率。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例1主机攻击检测方法的方法流程图;
图2为本发明实施例2主机攻击检测系统的系统结构图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式对本发明作进一步详细的说明。
实施例1:
图1为本发明实施例1主机攻击检测方法的方法流程图。
参见图1,该主机攻击检测方法,包括:
步骤101:获取目标主机网络数据、安全设备系统日志和目标主体系统日志。
目标主机网络数据的获取方式为:通过网络端口镜像的方式获取目标主机网络数据。
安全设备系统日志的获取方式为:通过syslog(系统日志或系统记录)转发方式获取安全设备系统日志。安全设备包括ids、ips、waf等。安全设备系统日志是指安全设备系统所产生或记录的日志。
目标主体系统日志的获取方式为:通过日志采集客户端软件采集目标主体系统日志。
步骤102:提取所述目标主体网络数据、所述安全设备系统日志和所述目标主体系统日志的特征信息。
该步骤102具体包括:
(1)从所述目标主机网络数据中解析提取请求和响应信息。
访问目标主机可能采用多种协议,包括但不限于http、https、smb、svn、pop3、snmp、ssh、telnet、rpc、soap等协议。以http请求为例,请求主要包括请求行,请求头、请求主体三部分,其中请求行由三部分组成:分别是请求方法(GET/POST/DELETE/PUT/HEAD)、URI路径、HTTP版本号。请求头由散两部分组成:分别是缓存相关信息(Cache-Control,If-Modified-Since)、客户端身份信息(User-Agent)等键值对信息。请求主体是客户端发给服务端的请求数据,这部分数据并不是每个请求必须的。通过网络端口镜像获取到原始网络数据后,根据不同的协议对应的字段进行逐个解析,获取相应的监测特征。
常用的请求信息类型参见表1。常用的响应信息类型参见表2。
表1常用请求信息类型
Figure BDA0002230731140000051
Figure BDA0002230731140000071
表2常用响应信息类型
Figure BDA0002230731140000072
Figure BDA0002230731140000081
(2)从所述安全设备系统日志中解析设备日志特征;所述设备日志特征包括但不限于:时间、级别、协议、目的IP、源IP、目的端口、资源账号、目的MAC、源MAC、认证账号、重定向端口、访问方向和阻断信息。在解析处设备日志特征后,将提取的设备日志特征转换成统一格式并存储到数据库中。
(3)从所述目标主体系统日志中提取系统日志特征;所述系统日志特征包括但不限于:操作系统、版本号、时间、源IP、端口、类型、级别、用户和结果。在提取到系统日志特征后,将提取的系统日志特征存储到数据库中。
步骤103:将所述特征信息输入到利用集成学习方法对已公开的漏洞数据进行训练所得到的多个机器学习器中,判断是否输出攻击类别,得到判断结果。
该步骤103中,利用集成学习方法对已公开的漏洞数据进行训练的具体过程为:
(1)获取已公开的漏洞数据,得到训练样本。
漏洞数据包括但不限于国家信息安全漏洞库、国家信息安全漏洞共享平台漏洞、赛门铁克漏洞库、美国国家信息安全漏洞库、全球信息安全漏洞指纹库、OffensiveSecurity公司的漏洞库、CVE(Common Vulnerabilities&Exposures,公共漏洞和暴露)漏洞库、乌云安全漏洞报告平台、Sebug漏洞库等漏洞数据库相关信息。
(2)提取所述训练样本的攻击特征;所述攻击特征包括但不限于:时间、行为、源IP、目的IP、通讯协议、进程信息、配置信息、端口信息、请求连接信息、阻断信息、账号信息、协议内部信息中的至少一项。
(3)将按照各所述攻击特征所属的攻击类型,对各所述攻击特征进行攻击类型的划分。所述攻击类型包括但不限于:网络攻击、系统入侵、信息破坏和安全隐患。
网络攻击类型下的攻击事件参见表3。
表3网络攻击类型下的攻击事件
Figure BDA0002230731140000091
系统入侵类型下的攻击事件参见表4。
表4系统入侵类型下的攻击事件
信息破坏类型下的攻击事件参见表5。
表5信息破坏类型下的攻击事件
Figure BDA0002230731140000101
安全隐患类型下的攻击事件参见表6。
表6安全隐患类型下的攻击事件
Figure BDA0002230731140000102
(4)利用集成学习方法对所述攻击特征和各所述攻击特征所属的攻击类型进行训练,得到训练好的多个机器学习器。
集成学习方法本身并不是一个单独的机器学习算法,而是通过构建并结合多个机器学习器来完成学习任务,采用集成学习方法能够平均单个维度的偏差,减少方差,提高机器学习的效率。训练后的攻击特征与攻击类型的匹配关系存储在数据库中。
步骤104:若所述判断结果表示是,则确定发生主机攻击;
步骤105:发出主机攻击报警信号。可以通过短信、邮件等方式将报警信号传递到用户。
步骤106:若所述判断结果表示否,则确定未发生主机攻击。
实施例2:
该实施例2提供一种主机攻击检测系统。
图2为本发明实施例2主机攻击检测系统的系统结构图。
参见图2,该主机攻击检测系统包括:
主机数据获取模块1,用于获取目标主机网络数据、安全设备系统日志和目标主体系统日志。
特征提取模块2,用于提取所述目标主体网络数据、所述安全设备系统日志和所述目标主体系统日志的特征信息。
所述特征提取模块2包括:
目标主机网络数据解析单元,用于从所述目标主机网络数据中解析提取请求和响应信息。
安全设备系统日志解析单元,用于从所述安全设备系统日志中解析设备日志特征;所述设备日志特征包括但不限于:时间、级别、协议、目的IP、源IP、目的端口、资源账号、目的MAC、源MAC、认证账号、重定向端口、访问方向和阻断信息。
系统日志特征提取单元,用于从所述目标主体系统日志中提取系统日志特征;所述系统日志特征包括但不限于:操作系统、版本号、时间、源IP、端口、类型、级别、用户和结果。
训练模块3,用于利用集成学习方法对已公开的漏洞数据进行训练。
训练模块3包括:
样本获取单元,用于获取已公开的漏洞数据,得到训练样本。
系统日志特征提取单元,用于提取所述训练样本的攻击特征;所述攻击特征包括但不限于:时间、行为、源IP、目的IP、通讯协议、进程信息、配置信息、端口信息、请求连接信息、阻断信息、账号信息、协议内部信息中的至少一项。
攻击类型划分单元,用于将按照各所述攻击特征所属的攻击类型,对各所述攻击特征进行攻击类型的划分。所述攻击类型包括但不限于:网络攻击、系统入侵、信息破坏和安全隐患。
集成学习训练单元,用于利用集成学习方法对所述攻击特征和各所述攻击特征所属的攻击类型进行训练,得到训练好的多个机器学习器。
攻击判断模块4,用于将所述特征信息输入到利用集成学习方法对已公开的漏洞数据进行训练所得到的多个机器学习器中,判断是否输出攻击类别,得到判断结果。
攻击确定模块5,用于若所述判断结果表示是,则确定发生主机攻击。
报警模块6,用于发出主机攻击报警信号。
安全确定模块7,用于若所述判断结果表示否,则确定未发生主机攻击。
根据本发明提供的具体实施例,本发明公开了以下技术效果:本发明的主机攻击检测方法及系统,通过结合目标主机网络数据、安全设备系统日志和目标主体系统日志等信息对主机进行全方位的快速安全监测,准确分析出主机受到的攻击类型,提高检测准确度,并提高检测效率。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的系统而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处。综上所述,本说明书内容不应理解为对本发明的限制。

Claims (10)

1.一种主机攻击检测方法,其特征在于,包括:
获取目标主机网络数据、安全设备系统日志和目标主体系统日志;
提取所述目标主体网络数据、所述安全设备系统日志和所述目标主体系统日志的特征信息;
将所述特征信息输入到利用集成学习方法对已公开的漏洞数据进行训练所得到的多个机器学习器中,判断是否输出攻击类别,得到判断结果;
若所述判断结果表示是,则确定发生主机攻击;
若所述判断结果表示否,则确定未发生主机攻击。
2.根据权利要求1所述的主机攻击检测方法,其特征在于,所述提取所述目标主体网络数据、所述安全设备系统日志和所述目标主体系统日志的特征信息,具体包括:
从所述目标主机网络数据中解析提取请求和响应信息;
从所述安全设备系统日志中解析设备日志特征;所述设备日志特征包括但不限于:时间、级别、协议、目的IP、源IP、目的端口、资源账号、目的MAC、源MAC、认证账号、重定向端口、访问方向和阻断信息;
从所述目标主体系统日志中提取系统日志特征;所述系统日志特征包括但不限于:操作系统、版本号、时间、源IP、端口、类型、级别、用户和结果。
3.根据权利要求1所述的主机攻击检测方法,其特征在于,利用集成学习方法对已公开的漏洞数据进行训练的具体过程为:
获取已公开的漏洞数据,得到训练样本;
提取所述训练样本的攻击特征;所述攻击特征包括但不限于:时间、行为、源IP、目的IP、通讯协议、进程信息、配置信息、端口信息、请求连接信息、阻断信息、账号信息、协议内部信息中的至少一项;
将按照各所述攻击特征所属的攻击类型,对各所述攻击特征进行攻击类型的划分;
利用集成学习方法对所述攻击特征和各所述攻击特征所属的攻击类型进行训练,得到训练好的多个机器学习器。
4.根据权利要求1所述的主机攻击检测方法,其特征在于,在所述确定发生主机攻击之后,还包括:
发出主机攻击报警信号。
5.根据权利要求3所述的主机攻击检测方法,其特征在于,所述攻击类型包括但不限于:网络攻击、系统入侵、信息破坏和安全隐患。
6.一种主机攻击检测系统,其特征在于,包括:
主机数据获取模块,用于获取目标主机网络数据、安全设备系统日志和目标主体系统日志;
特征提取模块,用于提取所述目标主体网络数据、所述安全设备系统日志和所述目标主体系统日志的特征信息;
攻击判断模块,用于将所述特征信息输入到利用集成学习方法对已公开的漏洞数据进行训练所得到的多个机器学习器中,判断是否输出攻击类别,得到判断结果;
攻击确定模块,用于若所述判断结果表示是,则确定发生主机攻击;
安全确定模块,用于若所述判断结果表示否,则确定未发生主机攻击。
7.根据权利要求6所述的主机攻击检测系统,其特征在于,所述特征提取模块包括:
目标主机网络数据解析单元,用于从所述目标主机网络数据中解析提取请求和响应信息;
安全设备系统日志解析单元,用于从所述安全设备系统日志中解析设备日志特征;所述设备日志特征包括但不限于:时间、级别、协议、目的IP、源IP、目的端口、资源账号、目的MAC、源MAC、认证账号、重定向端口、访问方向和阻断信息;
系统日志特征提取单元,用于从所述目标主体系统日志中提取系统日志特征;所述系统日志特征包括但不限于:操作系统、版本号、时间、源IP、端口、类型、级别、用户和结果。
8.根据权利要求6所述的主机攻击检测系统,其特征在于,还包括训练模块,用于利用集成学习方法对已公开的漏洞数据进行训练;
所述训练模块包括:
样本获取单元,用于获取已公开的漏洞数据,得到训练样本;
系统日志特征提取单元,用于提取所述训练样本的攻击特征;所述攻击特征包括但不限于:时间、行为、源IP、目的IP、通讯协议、进程信息、配置信息、端口信息、请求连接信息、阻断信息、账号信息、协议内部信息中的至少一项;
攻击类型划分单元,用于将按照各所述攻击特征所属的攻击类型,对各所述攻击特征进行攻击类型的划分;
集成学习训练单元,用于利用集成学习方法对所述攻击特征和各所述攻击特征所属的攻击类型进行训练,得到训练好的多个机器学习器。
9.根据权利要求6所述的主机攻击检测系统,其特征在于,还包括:
报警模块,用于发出主机攻击报警信号。
10.根据权利要求8所述的主机攻击检测系统,其特征在于,所述攻击类型包括但不限于:网络攻击、系统入侵、信息破坏和安全隐患。
CN201910966779.5A 2019-10-12 2019-10-12 一种主机攻击检测方法及系统 Active CN110636076B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910966779.5A CN110636076B (zh) 2019-10-12 2019-10-12 一种主机攻击检测方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910966779.5A CN110636076B (zh) 2019-10-12 2019-10-12 一种主机攻击检测方法及系统

Publications (2)

Publication Number Publication Date
CN110636076A true CN110636076A (zh) 2019-12-31
CN110636076B CN110636076B (zh) 2021-06-11

Family

ID=68976197

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910966779.5A Active CN110636076B (zh) 2019-10-12 2019-10-12 一种主机攻击检测方法及系统

Country Status (1)

Country Link
CN (1) CN110636076B (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111314310A (zh) * 2020-01-19 2020-06-19 浙江大学 一种基于机器学习的不可解析网络数据特征选择的攻击检测方法
CN111881460A (zh) * 2020-08-06 2020-11-03 深信服科技股份有限公司 一种漏洞利用检测方法、系统、设备及计算机存储介质
CN111953697A (zh) * 2020-08-14 2020-11-17 上海境领信息科技有限公司 一种apt攻击识别及防御方法

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102546624A (zh) * 2011-12-26 2012-07-04 西北工业大学 一种网络多路入侵检测防御方法及系统
CN103824069A (zh) * 2014-03-19 2014-05-28 北京邮电大学 一种基于多主机日志关联的入侵检测方法
CN107241352A (zh) * 2017-07-17 2017-10-10 浙江鹏信信息科技股份有限公司 一种网络安全事件分类与预测方法及系统
CN108881265A (zh) * 2018-06-29 2018-11-23 北京奇虎科技有限公司 一种基于人工智能的网络攻击检测方法及系统
US20190215330A1 (en) * 2018-01-07 2019-07-11 Microsoft Technology Licensing, Llc Detecting attacks on web applications using server logs

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102546624A (zh) * 2011-12-26 2012-07-04 西北工业大学 一种网络多路入侵检测防御方法及系统
CN103824069A (zh) * 2014-03-19 2014-05-28 北京邮电大学 一种基于多主机日志关联的入侵检测方法
CN107241352A (zh) * 2017-07-17 2017-10-10 浙江鹏信信息科技股份有限公司 一种网络安全事件分类与预测方法及系统
US20190215330A1 (en) * 2018-01-07 2019-07-11 Microsoft Technology Licensing, Llc Detecting attacks on web applications using server logs
CN108881265A (zh) * 2018-06-29 2018-11-23 北京奇虎科技有限公司 一种基于人工智能的网络攻击检测方法及系统

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111314310A (zh) * 2020-01-19 2020-06-19 浙江大学 一种基于机器学习的不可解析网络数据特征选择的攻击检测方法
CN111881460A (zh) * 2020-08-06 2020-11-03 深信服科技股份有限公司 一种漏洞利用检测方法、系统、设备及计算机存储介质
CN111881460B (zh) * 2020-08-06 2024-04-09 深信服科技股份有限公司 一种漏洞利用检测方法、系统、设备及计算机存储介质
CN111953697A (zh) * 2020-08-14 2020-11-17 上海境领信息科技有限公司 一种apt攻击识别及防御方法
CN111953697B (zh) * 2020-08-14 2023-08-18 上海境领信息科技有限公司 一种apt攻击识别及防御方法

Also Published As

Publication number Publication date
CN110636076B (zh) 2021-06-11

Similar Documents

Publication Publication Date Title
US9860278B2 (en) Log analyzing device, information processing method, and program
CN106909847B (zh) 一种恶意代码检测的方法、装置及系统
CN111277570A (zh) 数据的安全监测方法和装置、电子设备、可读介质
US9661008B2 (en) Network monitoring apparatus, network monitoring method, and network monitoring program
Ho et al. Statistical analysis of false positives and false negatives from real traffic with intrusion detection/prevention systems
CN111277587A (zh) 基于行为分析的恶意加密流量检测方法及系统
US20070067841A1 (en) Scalable monitor of malicious network traffic
CN103795709A (zh) 一种网络安全检测方法和系统
CN109845228A (zh) 用于实时检测网络黑客攻击的网络流量记录系统及方法
CN110636076A (zh) 一种主机攻击检测方法及系统
CN113691566B (zh) 基于空间测绘和网络流量统计的邮件服务器窃密检测方法
CN111447232A (zh) 一种网络流量检测方法及装置
Thakar et al. Honeyanalyzer–analysis and extraction of intrusion detection patterns & signatures using honeypot
Zulkifli et al. Live Forensics Method for Analysis Denial of Service (DOS) Attack on Routerboard
Saputra et al. Network forensics analysis of man in the middle attack using live forensics method
CN113783880A (zh) 网络安全检测系统及其网络安全检测方法
CN106790073B (zh) 一种Web服务器恶意攻击的阻断方法、装置及防火墙
Lu et al. Integrating traffics with network device logs for anomaly detection
KR20160087187A (ko) 사이버 블랙박스 시스템 및 그 방법
La et al. Network monitoring using mmt: An application based on the user-agent field in http headers
KR20070072835A (ko) 실시간 웹로그 수집을 통한 웹해킹 대응 방법
CN113596037B (zh) 一种基于网络全流量中事件关系有向图的apt攻击检测方法
CN114301802A (zh) 密评检测方法、装置和电子设备
Alsharabi et al. Detecting Unusual Activities in Local Network Using Snort and Wireshark Tools
Mukti et al. Integration of Low Interaction Honeypot and ELK Stack as Attack Detection Systems on Servers

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant